13. Ochrana osobních údajů

1. Důvody ochrany osobních údajů a předmět této ochrany

Právní úprava ochrany osobních údajů je v zásadě jistou reakcí demokratického právního státu na rozvoj technologií především v oblasti výpočetní a spojovací techniky. Díky těmto technologiím osobní údaj stále více nahrazuje přímý kontakt s fyzickou osobou a dává stále účinnější možnosti zasahovat do každodenního života dotčených osob, které musí v určité míře svoje údaje zpřístupnit dalším subjektům. Každé takovéto zpřístupnění je ve své podstatě nevratný proces, jelikož nelze spolehlivě dosáhnout stavu panujícího před poskytnutím těchto údajů. Stejně tak je prakticky velmi jednoduché další šíření těchto údajů.

Smyslem právní úpravy ochrany osobních údajů je zajistit, aby měl každý garantováno právo disponovat se svými osobními údaji, resp. aby si v nezbytné míře mohl udržovat přehled o tom, kdo a jakým způsobem s jeho osobními údaji nakládá.

Je třeba zmínit, že uvedená práva nejsou absolutní a mohou být v nezbytné míře omezena (např. v souvislosti s vyšetřováním trestné činnosti). Ochrana osobních údajů tedy souvisí s ochranou základních lidských práv a svobod, především s naplněním práva na ochranu soukromí.

Pojem soukromí je ovšem třeba vnímat extenzivněji, a to zejména s ohledem na rozsudek Evropského soudu pro lidská práva ve věci Niemietz v. Německo z 16. prosince 1992, podle něhož soukromí nelze omezovat na „vnitřní okruh“, ve kterém jedinec prožívá svůj osobní život, nýbrž musí zahrnovat také určitý stupeň práva rozvíjet vztahy s jinými lidmi.

Nutno ovšem doplnit, že ochrana osobních údajů se postupně vyděluje jako speciální odvětví ochrany soukromí, což se projevuje především tím, že ochrana osobních údajů je výslovně zmiňována jako imanentní součást základních práv a svobod (vizte čl. 8 Listiny základních práv EU nebo čl. 10 Listiny základních práv a svobod ČR).

Právní úprava týkající se ochrany osobních údajů pak k ochraně dotčených práv a svobod přispívá tím, že stanoví pravidla zpracování osobních údajů.

2. Prameny právní úpravy

Právní úprava ochrany osobních údajů je založena mezinárodními konvencemi zavazujícími ČR a právem EU. Především je nutno jmenovat Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108 ze dne 28. ledna 1981, ve znění jejího protokolu CETS č. 223).

Na úrovni EU tuto úpravu, která fakticky přejímá a dále rozvíjí principy zakotvené posledně zmiňovanou Úmluvou, představuje nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), zkráceně známém jako GDPR. Tímto se ale právní úprava ochrany osobních údajů, a to ani na úrovni EU nevyčerpává. Je tomu tak už proto, že samo GDPR se nevztahuje na zpracování osobních údajů, které nespadají do působnosti práva EU a také které jsou zahrnuty do působnosti hlavy V kap. 2 Smlouvy o EU.

Speciální úprava, která představuje jistý doplněk GDPR je pak obsažena v množství dalších předpisů. Možno zmínit např. alespoň směrnici Evropského parlamentu a Rady (EU) 2016/680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonů trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (tzv. trestněprávní směrnice) nebo směrnici Evropského parlamentu a Rady (EU) 2016/681 o používání jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti.

Tato právní úprava pak představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich osobními údaji. Stanovením povinností při zpracování osobních údajů, resp. určitých limitů tohoto zpracování zároveň zakotvuje práva fyzických osob dotčených zpracováním, a to především ve dvou složkách: mít (získávat) jednak informace o tom, které jejich údaje jsou zpracovávány a proč se tak děje včetně kontroly nad těmito procesy, a dále domáhat se dodržování pravidel, včetně nápravy nevyhovujícího stavu.

Nutno ovšem připomenout, že GDPR jakožto nařízení je sice v rámci ČR přímo aplikovatelné, určitá jeho ustanovení však přímo vyžadují anebo povolují určitou implementaci, resp. adaptaci do tuzemského právního řádu, přičemž ve vztahu ke směrnicím, samozřejmě včetně výše uvedených je provedení takovéto transpozice přímo povinností členského státu. Z těchto důvodů proto byl přijatý zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon č. 110/2019 Sb.“), a zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Právě na posledně připomenutém zákoně je možno nejvýrazněji demonstrovat, že jak GDPR, tak právní řád ČR respektují speciální právní úpravu zpracování osobních údajů, která je roztroušena v dílčích ustanoveních právních předpisů prakticky všech odvětví (např. zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů, zákoník práce apod.). Ve vztahu k jakémukoli, ať už reálně probíhajícímu anebo zamýšlenému zpracování osobních údajů je tudíž velmi důležité si nejprve ujasnit, jaká právní úprava na něj dopadá anebo jaká by na něj měla dopadat.

V dalším textu se pak budeme zabývat principy zakotvenými v GDPR, a to vzhledem k jejich komplexnosti a obecnosti, přičemž speciální úpravu pomineme.

3. Základní pojmy

Předmětem úpravy GDPR je zpracování osobních údajů, které provádí správce, a to eventuálně prostřednictvím zpracovatele. Za základní pojmy tedy je třeba považovat: osobní údaj, zpracování osobních údajů, správce a zpracovatel.

Osobní údaj je jakákoli informace vztahující se k určené (identifikované) anebo určitelné (identifikovatelné), a to žijící fyzické osobě – subjektu údajů. Jedná se o entitu datových položek, jejichž součástí musí být určité identifikátory (jméno, rodné číslo, zobrazení obličeje apod.) umožňující fyzickou osobu odlišit od ostatních a kontaktovat anebo alespoň odlišit od ostatních. Osobním údajem je např. informace o tom, že osoba konkrétně uvedeného jména, data narození a bydliště vykovává ve vymezeném období určité povolání.

Naopak obecnou informaci, podle níž počet osob vykonávajících ve vymezené době určité povolání poklesl, takto klasifikovat nelze.

Tematicky se tedy osobní údaje mohou vztahovat k jakékoli oblasti. Toto se ovšem netýká tzv. zvláštní kategorie osobních údajů, což jsou taxativně vymezené druhy osobních údajů (vypovídající např. o zdravotním stavu, náboženském vyznání, politických názorech, rasovém či etnickém původu atd.).

Osobní údaje však musí být zpracovatelné, tj. uloženy na nosiči, aby mohly být včleněny do režimu zpracování.

Zpracování osobních údajů je definováno jako jakákoli operace nebo soubor operací, které se provádějí s osobními údaji. Výčet těchto operací, za něž je považováno především shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení je uveden pouze demonstrativně. To je z hlediska právního vyjádření vcelku logické, jelikož vyčerpávající výčet evidentně není možné spolehlivě sestavit a případný takovýto pokus by evidentně vytvořil jistou základnu k obcházení právní úpravy. Nutno ale doplnit, že GDPR se vztahuje pouze na automatizované, resp. částečně automatizované zpracování osobních údajů a dále na zpracování osobních údajů obsažených v evidenci nebo těch, které do ní mají být zařazeny. Za evidenci pak je považován jakýkoli strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií. Naopak, GDPR nelze aplikovat vůči osobním údajům zpracovávaných fyzickou osobou v průběhu výlučně osobních nebo domácích činností.

Správcem osobních údajů je jakýkoli subjekt ať již fyzická či právnická osoba anebo orgán veřejné moci, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů. Nese tedy základní odpovědnost za příslušné zpracování osobních údajů.

Je‑li správců více, vymezí své podíly na odpovědnosti transparentním ujednáním. Správce pak může osobní údaje zpracovávat prostřednictvím zpracovatele.

Zpracovatel osobních údajů je jakýkoli subjekt, který zpracovává osobní údaje pro správce a je tedy sekundárně odpovědný za zpracování osobních údajů. Vztah mezi správcem a zpracovatelem může být založen buď smlouvou, nebo jiným zavazujícím právním aktem, přičemž musí být splněny náležitosti uvedené v čl. 28 GDPR. K nim náleží především zajištění toho, aby zpracovatel respektoval pokyny správce, aby osoby oprávněné ke zpracování byly zavázány k mlčenlivosti a aby byly plněny všechny relevantní povinnosti uložené ustanoveními GDPR, přičemž zpracovatel může dalšího zpracovatele zapojit pouze na základě povolení správce. Příslušný právní akt musí být písemný, za což se uznává i elektronická forma.

Správce i zpracovatel jsou povinni vést záznamy o činnostech zpracování v rozsahu stanoveném v čl. 30 GDPR.

4. Základní zásady zpracování osobních údajů

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem. Prakticky to především znamená, že osobní údaje jsou shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány za účelem, který je s těmito účely neslučitelný (zásada účelového omezení).

Takovýmto popřením primárního účelu by bylo např. svévolné rozhodnutí zaměstnavatele předat osobní údaje dalšímu správci pro potřeby přímého marketingu. Z druhé strany za neslučitelné účely nelze považovat archivnictví ve veřejném zájmu, vědecký nebo historický výzkum, statistické účely nebo chráněný zájem (vizte § 6 zákona č. 110/2019 Sb.).

Účel zpracování osobních údajů správce stanoví prostřednictvím disponibilního právního titulu (vizte dále).

Účel zpracování osobních údajů pak má obsahovou dimenzi vyjádřenou prostřednictvím zásady minimalizace údajů, podle níž osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Kupř. pro vedení evidence čtenářů běžné knihovny je relevantní vést údaj o bydlišti čtenáře, nikoli ale údaje o příjmech této osoby.

Dále má účel tzv. časovou dimenzi (zásada omezení uložení), podle níž je možno osobní údaje ukládat ve formě umožňující identifikaci osobních údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Tedy např. záměr majitele domu vést osobní údaje nájemníků po dobu sta let není evidentně v souladu s tímto principem.

Další zásadou zpracování osobních údajů je zásada přesnosti, podle níž zpracovávané osobní údaje mají být přesné a v případě potřeby aktualizované, přičemž musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány anebo opraveny. Přesnost osobních údajů se tedy posuzuje s ohledem na stanovený účel. Zpracováváme‑li osobní údaje o výpovědi určitého svědka, je důležité, zda opravdu vypovídal tak, jak je uvedeno
a nikoli, zda mluvil pravdu. Naopak zpracováváme‑li osobní údaje pro účely zasílání určitých dokumentů, je důležité systematicky prověřovat aktuálnost kontaktních údajů a je‑li třeba, tyto údaje opravovat.

Osobní údaje pak musí být zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (zásada integrity a důvěrnosti). Nezbytnost zavedení předmětných opatření je nutno posuzovat individuálně, a to s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování a možným rizikům, přičemž za vhodná opatření se považuje pseudonymizace a šifrování osobních údajů, opatření umožňující zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, opatření zavádějící schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických i technických incidentů, a dále zajištění procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených opatření. Stejně tak je nutno dosáhnout toho, aby každý, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům jednal pouze na pokyn správce.

Na tomto místě je vhodné také připomenout ohlašovací povinnost spočívající v tom, že jakékoli závažnější porušení zabezpečení osobních údajů je správce povinen bezodkladně nahlásit dozorovému úřadu, přičemž mělo‑li by porušení zabezpečení osobních údajů za následek vysoké riziko pro práva a svobody fyzických osob, je třeba toto oznámit i subjektům údajů.

5. Právní titul

Zpracování osobních údajů je založeno na premise, že nakládat s osobními údaji je primárně oprávněn subjekt údajů. Správce tedy je povinen zpracování založit na některém z právních titulů. Takovým právním titulem je souhlas subjektu údajů, což je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, který takto dává svolení ke zpracování svých osobních údajů. Existenci souhlasu musí být správce schopen doložit, přičemž subjekt údajů je oprávněn svůj souhlas kdykoli odvolat.

Osobní údaje je ovšem možno zpracovávat i na základě jiných právních titulů, zejména je­­­­‑li to nezbytné pro plnění smlouvy uzavřené se subjektem údajů, pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů, je‑li to nezbytné pro splnění právní povinnosti, která se vztahuje na správce, případně pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, je‑li to nezbytné pro ochranu určitých práv nebo právem chráněných zájmů anebo pro ochranu životně důležitých zájmů. Zákon č. 110/2019 Sb. pak stanoví velmi rozsáhlé výjimky pro zpracování osobních údajů pro novinářské účely anebo pro účely akademického, uměleckého nebo literárního projevu.

Ohledně zvláštních kategorií osobních údajů se sice primárně vyslovuje zákaz jejich zpracování, nicméně následně se stanovují určité případy, kdy je toto přípustné. Mezi ně patří především udělení výslovného souhlasu subjektem údajů, je‑li to nezbytné k ochraně životně důležitých zájmů, jedná‑li se o osobní údaje zjevně zveřejněné subjektem údajů, je‑li to nezbytné pro určení, výkon nebo obhajobu právních nároků, jedná‑li se o interní zpracování prováděné neziskovým subjektem sledujícím politické, filosofické, náboženské či odborové cíle anebo je‑li to pro určitou oblast stanoveno zákonem. Zvláštní ustanovení GDPR se týká zpracování osobních údajů o rozsudcích v trestních věcech, které toto povoluje vykonávat pouze pod dozorem orgánu veřejné moci nebo pokud jsou garantovány vhodné záruky, pokud jde o práva a svobody subjektů údajů.

6. Další práva a povinnosti při zpracování osobních údajů

Další práva a povinnosti při zpracování osobních údajů

6.1. Práva subjektu údajů

Subjekt údajů má:

• právo na informace, tedy aby mu správce poskytl vymezené základní informace týkající se zpracování jeho osobních údajů (a to i bez žádosti),
• právo na přístup ke svým osobním údajům tedy, aby mu správce na žádost poskytl potvrzení, zda zpracovává jeho osobní údaje a další s tím související informace,
• právo žádat správce o opravu, jsou‑li osobní údaje nepřesné,
• právo o výmaz osobních údajů ve stanovených případech (právo být zapomenut),
• právo na přenositelnost údajů,
• právo dožadovat se omezení zpracování, vznést námitku a nebýt předmětem automatizovaného rozhodnutí, včetně profilování.

Nutno však doplnit, že GDPR stanoví přesnější pravidla pro uplatňování těchto práv, včetně řady výjimek, přičemž další omezení jsou ve vymezeném rozsahu umožněna prostřednictvím práva členského státu nebo EU.

6.2. Posouzení vlivu na ochranu osobních údajů

GDPR ohledně rizikovějších zpracování osobních údajů nařizuje preventivně provést posouzení vlivu zamýšlených operací na předmětnou úroveň ochrany, případně poté uskutečnit konzultaci s dozorovým úřadem (vizte čl. 35 a 36 GDPR).

Ukládá se i podporovat kodexy chování včetně monitorování již schválených a také podporovat vydávání osvědčení o ochraně údajů (resp. zavedení odpovídajících známek a pečetí). Osoby oprávněné k vydávání uvedených osvědčení pak jsou akreditovány osobou pověřenou dle zákona č. 22/1997 Sb.

6.3. Pověřenec pro ochranu osobních údajů

Správci a zpracovatelé jsou za určitých podmínek – pokud provádějí zpracování uvedená v čl. 37 odst. 1 GDPR (tedy mj. vždy, když zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí), povinni jmenovat pověřence pro ochranu osobních údajů a jeho kontaktní údaje zveřejnit a nahlásit dozorovému úřadu.
GDPR ani zákon č. 110/2019 Sb. neklade vůči pověřencům pro ochranu osobních údajů žádné striktní kvalifikační požadavky, GDPR pouze obecně stanoví, že musí být jmenován na základě svých profesních kvalit, zejména na základě odborných znalostí práva a praxe v oblasti ochrany osobních údajů a na základě schopnosti plnit své úkoly.

Pověřenec pro ochranu osobních údajů musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Nejde však o podmínku organizační, tj. že pověřence musí řídit přímo vedení organizace, ale jde o podmínku, aby pověřenec měl přímý přístup k vedení organizace, tj. aby při předávání informací vedení organizace nebyl mezi pověřencem a vedením další mezičlánek a pověřenec se tak na vedení organizace mohl kdykoli obrátit v záležitostech ochrany osobních údajů.

Hlavním úkolem pověřence je především poskytování informací a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí. Pověřenec dále monitoruje soulad zpracování s GDPR a dalšími předpisy. Také poskytuje na vyžádání poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s dozorovým úřadem a působení jako kontaktní místo.

Pověřenec může plnit i ostatní úkoly, ale při jejich plnění se nesmí dostat do střetu zájmů s funkcí pověřence. GDPR pak vůči pověřenci nevyvozuje žádnou přímou odpovědnost.

6.4. Předávání osobních údajů do zahraničí

Pro případ předání osobních údajů do zahraničí, čímž je míněno předávání mimo státy EU, mezi nimiž panuje režim volného pohybu těchto údajů, je třeba zajistit, nejsou‑li dány stanovené výjimky, aby byly osobní údaje v zahraničí chráněny jako v ČR, resp. v rámci EU.

GDPR v této oblasti svěřuje významné pravomoci Evropské komisi, která by na základě stanovených kritérií měla posoudit a rozhodnout, zda určitá třetí země nebo její teritorium, případně konkrétní odvětví anebo mezinárodní organizace odpovídající úroveň ochrany osobních údajů poskytují či nikoli.

V kladném případě pak není třeba k přenosu dat žádné další povolení. Totéž platí i pro případy uvedené v čl. 46 odst. 2 GDPR, tedy jsou‑li pro případ předání osobních údajů k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů, jako kupř. závazná podniková pravidla v souladu s čl. 47 GDPR, jedná‑li se o aplikaci standardních smluvních doložek apod. Žádné povolení také nevyžaduje uplatnění výjimek pro specifické situace uvedené v čl. 49 GDPR. Jedná se např. o přenos dat na základě souhlasu subjektu údajů, přenos dat ve veřejném zájmu apod. Zvláště nutno doplnit, že těmto výjimkám náleží i případ jednorázového předání týkajícího se omezeného počtu subjektů údajů, pokud to je nezbytné pro účely závažných oprávněných zájmů správce, které převažují nad zájmy subjektů údajů a jsou poskytnuty vhodné záruky pro ochranu osobních údajů.

Naproti tomu v případech dle čl. 46 odst. 3 GDPR, zejména jedná‑li se o aplikaci nestandardních smluvních doložek, je vyžadováno povolení dozorového úřadu. V případě absence o rozhodnutí o odpovídající ochraně pak právo členského státu nebo právo EU může ve veřejném zájmu dále omezit předávání určitých kategorií osobních údajů.

7. Dozorový úřad

Jako dozorový úřad ve smyslu čl. 51 GDPR byl zákonem č. 110/2019 Sb. určen Úřad pro ochranu osobních údajů.

Úřad pro ochranu osobních údajů je ústředním správním úřadem pro oblast ochrany osobních údajů, přičemž při výkonu své činnosti postupuje nezávisle a řídí se pouze právním řádem ČR a přímo použitelnými předpisy EU. Je však povolen soudní přezkum jeho rozhodnutí, včetně práva subjektu údajů na soudní ochranu před jeho nečinností. Z pravomoci Úřadu pro ochranu osobních údajů jsou ale vyjmuta zpracování osobních údajů prováděná soudy jednajícími v rámci svých soudních pravomocí a také zpracování prováděná státními zastupitelstvími a zpravodajskými službami.

Úřad pro ochranu osobních údajů řídí jeho předseda a dále má dva místopředsedy.

Úřad pro ochranu osobních údajů vykonává pravomoci na území ČR. GDPR ovšem velkou pozornost věnuje i spolupráci dozorových úřadů, zejména v rámci tzv. mechanismu jednotnosti, kde má významné postavení Evropský sbor pro ochranu osobních údajů.

Jedná‑li se však o zpracování prováděné orgánem veřejné moci anebo soukromým subjektem za účelem výkonu veřejné moci, případně za účelem výkonu právní povinnosti anebo za účelem naplnění veřejného zájmu je vždy příslušný dozorový úřad dotčeného členského státu, tedy v rámci ČR Úřad pro ochranu osobních údajů. Ten bude v zásadě příslušný i v případě stížnosti týkající se výlučně provozovny správce, resp. subjektů údajů v jeho členském státě.

Na tomto místě možno doplnit, že pro případ přeshraničního zpracování je třeba určit vedoucí dozorový úřad, který spolupracuje s ostatními dotčenými úřady ve snaze dosáhnout konsensu. Tato funkce je určena sídlem jediné nebo hlavní provozovny příslušného správce, případně zpracovatele. Za hlavní se považuje ta, která vykonává ústřední správu; eventuálně, ve vztahu ke správci provozovna nadaná pravomocí rozhodovat o zpracování osobních údajů a tato rozhodnutí vymáhat a ve vztahu ke zpracovateli provozovna, kde probíhají hlavní činnosti zpracování.

Z konkrétních poměrně rozsáhle formulovaných pravomocí Úřadu pro ochranu osobních údajů pak je nutno zmínit alespoň provádění auditů (kontrol) zpracování osobních údajů, kdy je postupováno podle kontrolního řádu a s tím fakticky souvisící upozorňování správců nebo zpracovatelů ohledně porušování jejich povinností a uplatňování výzev k vyjasnění nebo k nápravě.

Dále třeba připomenout, že Úřad pro ochranu osobních údajů projednává vymezené přestupky a ukládá pokuty, nicméně od uložení správního trestu upustí, jedná‑li se o orgán veřejné moci nebo veřejný subjekt, a to jedná‑li se o postup podle GDPR. Stejně tak je možno upustit od přestupkového řízení, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak.

K povinnostem Úřadu pro ochranu osobních údajů náleží i přijímání podnětů a stížností.

V této souvislosti však je třeba zvláště připomenout, že GDPR jako jeden z institutů ochrany subjektu údajů zavedlo i právo subjektu údajů na účinnou soudní ochranu vůči správci nebo zpracovateli (vizte čl. 79). Toto právo je možno uplatňovat nezávisle na podání stížnosti u Úřadu pro ochranu osobních údajů nebo uplatnění institutů mimosoudní ochrany.

Návrh na zahájení tohoto řízení je třeba podat u příslušného obecného soudu. Musí tedy splňovat veškeré náležitosti předepsané pro občanskoprávní řízení. Subjektu údajů pak náleží veškerá s tím souvisící procesní práva i povinnosti, a to na rozdíl od projednávání stížnosti, resp. podnětu Úřadem pro ochranu osobních údajů, kdy je oznamovatel pouze vyrozumíván o vyřízení svého podání. Prostřednictvím soudního řízení je navíc možno požadovat i náhradu utrpěné újmy ať hmotné nebo nehmotné (vizte čl. 82), což je vyloučeno prostřednictvím stížnosti u Úřadu pro ochranu osobních údajů.